Buer

Le chargeur de chevaux de Troie Buer est ce que l'on appelle souvent un Malware-as-a-Service. Cela signifie que les créateurs du cheval de Troie Buer le vendent comme une marchandise sur des marchés en ligne souterrains, et quiconque est disposé à payer peut profiter de cet outil de piratage. C'est particulièrement menaçant, non seulement parce qu'il n'y a pas de limite quant au nombre d'agents escroqueurs pouvant distribuer la menace, mais aussi parce que le chargeur de chevaux de Troie Buer est un outil très bien développé. Selon les chercheurs, le chargeur Buer est une menace créée par les développeurs de logiciels malveillants russes. Des experts ont repéré des publicités pour le cheval de Troie Buer, rédigées en russe, dans lesquelles les utilisateurs qui achètent la menace bénéficieront également d’une assistance gratuite et de mises à jour régulières. Le prix total de la chargeuse Buer est de 400 dollars, ce qui n’est pas très élevé pour ce que ses auteurs proposent. Des chercheurs de Malware ont repéré des copies du cheval de Troie Buer lors de plusieurs campagnes de piratage, ce qui les a amenés à penser qu’il existait déjà plusieurs partis pervers propageant la menace.

Ajoute des logiciels malveillants supplémentaires sur l'hôte compromis

Il semblerait que les parties distribuant le chargeur Buer utilisent peut-être des campagnes de courrier électronique de phishing. Les courriels frauduleux contenaient souvent un fichier de document contenant des macros contenant le code corrompu de la menace. Le Fallout Exploit Kit a également été identifié comme un outil utilisé par les acteurs propageant le cheval de Troie Buer. En tant que cheval de Troie, le travail du malware Buer consiste à installer des menaces supplémentaires sur l'hôte compromis. Certaines des menaces qui ont été utilisées comme charges utiles secondaires dans les campagnes Buer de Troie sont Amadey , TrickBot KPOT V2.0 , parmi plusieurs autres. Le chargeur saisit les charges utiles des menaces supplémentaires du serveur C&C (Command & Control) des opérateurs.

Auto-préservation et persistance acquises

Les auteurs du cheval de Troie Buer se sont assurés de mettre en œuvre des techniques de conservation de soi lors de leur création. Lorsqu’il infecte l’hôte ciblé, le chargeur Buer vérifie si le système pénétré est utilisé pour l’analyse des menaces et le débogage des programmes malveillants. Le cheval de Troie Buer vérifie la présence de tout logiciel qui serait généralement présent dans un environnement sandbox. Ce cheval de Troie vérifie également si le système qu'il a compromis se trouve en Russie ou dans tout autre État ex-soviétique. Si tel est le cas, le cheval de Troie Buer cessera l’opération. Pour gagner de la persistance sur la machine infectée, le chargeur Buer altère le registre Windows. Cela permettra au cheval de Troie Buer de s'exécuter à chaque redémarrage de l'ordinateur compromis.

Les auteurs du cheval de Troie Buer ont tenu parole et ont publié un nombre important de mises à jour depuis le début de l'opération. Il est peu probable qu'ils cessent de fonctionner très bientôt car l'intérêt pour le chargeur de chevaux de Troie Buer augmente.

Posts relatifs

Tendance

Le plus regardé

Chargement...